读书笔记摘抄新闻资讯sysanti病毒
sysanti.exe病毒,中了这种病毒之后,当遇一电脑可正常打开网页,但只要一搜防毒软体 (赛门铁克除外)及它sysanti.exe本身IE即被立即禁止,就是机器上有防毒软体的时候安装的时候也会自动弹出来退出的对话框。
所有盘符里面都有sysanti.exe和autorun.inf这2个隐藏的档案系统档案,删掉后1秒又再次重生,所有防毒软体都打不开,IE上网搜寻只要关于防毒软体名称以及sysanti.exe的网站IE就被自动关闭,搜寻360和USB专杀也被自动关闭,系统装了还原无法进入安全模式操作,且无法重启。
基本介绍
- 中文名:sysanti病毒
- 外文名:sysanti.exe
- 性质:防毒软体
- 形式:档案系统档案,
清除方法
1、首先打开系统每个盘符找到sysanti.exe和autorun.inf这2个隐藏的档案,即在资料夹选项里不要勾选隐藏系统档案和显示所有档案。并同时去掉隐藏已知档案后缀名。在桌面先新建一资料夹,名称改为这二个相同,设为唯读,删掉各盘符下的这二个档案立即用我们新建的同名资料夹替换,成功解决盘符根目录下的这二个该死档案。
2、然后搜寻,在C:\Program Files\Common Files下找到sysanti.exe且无法删除。在Common
Files目录下面,自动生成的Sysanti.exe
又回来了!(后来发现,那个木马是依附在Explorer.exe里面,即使在安全模式,你也没有运行它,所以,木马也就複製重生了!)
。习惯性打开任务管理器,发现一个SVCHOST.EXE的进程没有调用它的进程(就是它跟其他同名进程不是在同一个分支下),把它结束掉了,再去删SysAnti.exe,成功了。
原理,其实 这个病毒的反删除招数就是把自己的程式注入进程svchost.exe中 ,从而隐藏自己 。从表面上看它调用explorer.exe
因此,你即便进入安全模式一样会触发, 要想删除它得先终止进程svchost.exe 但svchost.exe进程数目很多,不能随便终止
,一般情况下,当按映像名称排序(就是滑鼠单击其标籤) 按a-z顺序 最下面那个就是被病毒利用的进程。
确定删掉了所有的SysAnti和Autorun档案后,启动注册表编辑器(regedit)Ctrl+F 查找所有有关 SysAnti的键值,统统删除。
3、至此,用IE能打开安全网站了,下载安全软体进行查杀即可,本人平时上的网站也全打开了。最后我下载了绿色蜘蛛进行自动查杀,手工只是第一步,没那个全方位的能力也不必要纯手工和病毒木马过不去吧。